信息安全管理体系(ISMS)认证机构名录(CNAS2020版)

我国目前ISMS的现状及面临的问题ISMS简介：信息安全管理体系（Information Securitry Management Systems，简称ISMS）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。

它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。

我国ISMS的发展现状：相对于欧盟比较成熟的认证体系，我国的信息安全管理体系起步较晚，但发展较快，取得了很大的进步，早在2006年3月，ISMS认证的国标化工作及其试点工作就已经进入实质阶段。

而在更早的2003年，我国《关于加强信息安全保障工作的意见》（中办发[2003]27号）中第一次全面地提出了我国的信息安全方针，即“积极防御、综合防范”，提出信息安全保障工作中要坚持“管理与技术并重”的原则。

这一文件的公布，指出了信息安全管理工作的发展方向，也推动了我国ISMS试点以及有关标准的推行和认证工作的开展。

2005年到2006年，我国先后开展了信息安全等级保护的试点工作，同时开展了信息安全风险评估的试点和推广工作，这也是为什么要研究信息安全管理标准的一个非常重要的动因，因为这两项工作，实际上都是信息安全保障的重点工作，都涉及到管理和技术，在这种情况下，ISMS试点工作应运而生。

2006年3月，国信办在组织专家研究的基础上，与有关部门和地方政府进行了协商，下达了2006年24号文件，即信息安全管理标准应用试点工作方案，正式部署了“信息安全管理标准应用（ISMS）”试点工作。

在试点工作的具体实施上，全国信息安全标准化技术委员会副主任委员、WG5组组长崔书昆教授介绍说，“当时的试点单位共7家，即北京市海淀区信息办、北京市住房公积金管理中心、上海市宝山区信息委、上海市医疗保险信息中心、福建省地税局、深圳证交所及武汉钢铁集团公司。

试点工作分为3个阶段，第一阶段是准备阶段，各单位设立试点单位，进行人员培训，并于2006年6月由国信办组织了试点准备工作情况交流会；第二阶段是实施阶段，各单位于当年6月先后启动试点工作，专家组按计划于8月进行了调研与指导；最后是总结阶段，从2006年年底一直持续到2007年1月，期间专家组根据国信办的指示与有关部门的意见，多次对验收方案、标准进行了修改、完善，制定了量化打分表，进行了试行，之后和各试点单位以及有关的主管部门一起，在各试点单位自我评估的基础上，逐一进行了验收。

2020年11月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.关于GB/T22（江南博哥）080-2016/ISO/IEC27001:2013标准，下列说法错误的是()A.标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B.标准中所表述要求的顺序反映了这些要求要实现的顺序C.信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D.信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性参考答案：B参考解析：引言中明确表述，标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予以实现的顺序[单选题]5.《中华人民共和国密码法》规定了国家秘密的范围和密级，国家秘密的密级分为()。

A.普密、商密两个级别B.低级和高级两个级别C.绝密、机密、秘密三个级别D.—密、二密、三密、四密四个级别参考答案：C参考解析：《中华人民共和国保守国家秘密法》第十条，国家秘密的密级分为绝密，机密，秘密三级[单选题]6.创建和更新文件化信息时，组织应确保适当的()A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准参考答案：D参考解析：27001,7,5,2创建和更新，创建和更新文件化信息时，组织应确保适当的标识和描述；格式和介质；对适宜性和充分性的评审和批准[单选题]7.根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是()A.保留含有敏感信息的介质的处置记录B.离职人员自主删除敏感信息的即可C.必要时采用多路线路供电D.应定期检查机房空调的有效性参考答案：B[单选题]8.下面哪一种属于网络上的被动攻击()A.消息篡改B.伪装C.拒绝服务D.流量分析参考答案：D参考解析：主动攻击会导致某些数据流的篡改和虚假数据流的产生，这类攻击分篡改，伪造消息数据和终端（拒绝服务）。

信息安全管理体系ISMS2016年6月考题2016信息安全管理体系（ISMS）审核知识试卷 2016年6月1、单选题1、密码就是一种用于保护数据保密性的密码学技术、由（）方法及相应运行过程。

A、加密算法和密钥生成B、加密算法、解密算法、密钥生成C、解密算法、密钥生成D、加密算法、解密算法2、计算机安全保护等级的第三级是（）保护等级A、用户自主B、安全标记C、系统审计D、结构化3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的通信信道A、补强B、有益C、保护D、危害4、5、6、ISMS关键成功因素之一是用于评价信息安全A、测量B、报告C、传递D、评价7、防止恶语和移动代码是保护软件和信息的（）A、完整性B、保密性C、可用性D、以上全部8、以下强健口令的是（）A、a8mom9y5fub33B、1234C、CnasD、Password9、开发、测试和（）设施应分离、以减少未授权访问或改变运行系统的风险A、系统B、终端C、配置D、运行10、设备、（）或软件在授权之前不应带出组织场所A、手机B、文件C、信息D、以上全部11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或安全地写覆盖A、系统软件B、游戏软件C、杀毒软件D、任何敏感信息12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件A、第一方人员B、第二方人员C、第三方人员D、IT经理13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在（）合同中。

A、雇员B、承包方人员C、第三方人员D、A+B+C14、ISMS文件的多少和详细程度取决于（）A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织A、使用B、授权C、检查合格D、识别出薄弱环节16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。

附录一
ISMS认证机构认证业务范围分类表
注1：以上分类考虑了组织的信息、信息载体及载体所处环境的特点，并结合了当前我国信息安全等级保护的重点领域，例如政府、税务、海关、广播电视网、通信网、金融银行、电力、铁路、民航、石油化工等。

不宜将认证业务范围等同于与ISMS认证相关的技术领域（见G.1.1）。

注2：以上风险分级主要考虑获证组织的信息安全遭受破坏时，对国家安全、社会秩序、公共利益或组织及其相关方的合法权宜可能造成的危害的严重程度，以及获证组织ISMS的有效性发生问题时，认证机构和CNAS可能承担的责任，主要是为了控制认可活动的风险，也可为认证机构分析和控制认证业务风险提供参考。

某些中类（例如每个大类的“其他”中类）的风险级别还需要随着ISMS认证认可活动的发展做进一步分析。

因此，中类的风险级别并不代表相关组织的信息安全风险水平，也不表示该类中所有组织的信息安全风险水平都相同。

（注：文件素材和资料部分来自网络，供参考。

请预览后才下载，期待你的好评与关注。

）。

2024年第二期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系一、单项选择题1、国家秘密的保密期限应为:（）A、绝密不超过三十年，机密不超过二十年，秘密不超过十年B、绝密不低于三十年，机密不低于二十年，秘密不低于十年C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年2、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复3、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程4、GB/T22080-2016中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感程度C、资产的折损率D、以上全部5、关于信息安全产品的使用，以下说法正确的是:（）A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞6、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以7、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密8、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏9、管理体系是实现组织目标的方针、（）、指南和相关资源的框架A、目标B、规程C、文件D、记录10、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行11、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、备案制度D、许可制度12、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对13、以下描述不正确的是（）A、防范恶意和移动代码的目标是保护软件和信息的完整性B、纠正措施的目的是为了消除不符合的原因，防止不符合的再发生C、风险分析、风险评价、风险处理的整个过程称为风险管理D、控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响14、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型15、拒绝服务攻击损害了信息系统哪一项性能（）A、完整性B、可用性C、保密性D、可靠性16、（）属于管理脆弱性的识别对象。

序号单位名称所属省市成熟度等级1 神州数码系统集成服务有限公司北京一级2 上海宝信软件股份有限公司上海一级3 北京华胜天成科技股份有限公司北京一级4 浪潮软件集团有限公司山东一级5 浪潮软件股份有限公司山东二级6 北京中科金财科技股份有限公司北京二级7 广州南天电脑系统有限公司广东二级8 北京荣之联科技股份有限公司北京二级9 北京银信长远科技股份有限公司北京二级10 北京华宇信息技术有限公司北京二级11 东软集团股份有限公司辽宁二级12 北京护航科技有限公司北京二级13 万达信息股份有限公司上海二级14 中科软科技股份有限公司北京二级15 广州市金税信息系统集成有限公司广东二级16 北京合力金桥系统集成技术有限公司北京二级17 四川久远银海软件股份有限公司四川二级18 石化盈科信息技术有限责任公司北京二级19 北京信城通数码科技有限公司北京二级20 首都信息发展股份有限公司北京二级21 上海天玑科技股份有限公司上海二级22 重庆市通信建设有限公司重庆二级23 联通系统集成有限公司北京二级24 江苏东大金智信息系统有限公司江苏二级25 成都勤智数码科技股份有限公司四川二级26 软通动力信息技术有限公司天津二级27 荣科科技股份有限公司辽宁二级28 紫光软件系统有限公司北京二级29 广州宽带主干网络有限公司广东二级30 西安未来国际信息股份有限公司陕西二级31 上海华讯网络系统有限公司上海二级32 大连华信计算机技术股份有限公司大连二级33 中国软件与技术服务股份有限公司北京二级34 四川创意信息技术股份有限公司四川二级35 太极计算机股份有限公司北京二级36 普天国脉网络科技有限公司福建二级37 中国电信集团系统集成有限公司北京二级38 亚信科技(南京)有限公司江苏二级39 广州华资软件技术有限公司广东二级40 广州越维信息科技有限公司广东二级41 浙江省公众信息产业有限公司浙江二级42 快威科技集团有限公司浙江二级43 阳光雨露信息技术服务（北京）有限北京二级公司甘肃紫光智能交通与控制技术有限公44甘肃二级司45 通号通信信息集团有限公司北京二级46 安徽和信科技发展有限责任公司安徽二级47 宇星科技发展（深圳）有限公司深圳二级48 江西汇天科技有限公司江西二级49 云南南天电子信息产业股份有限公司云南二级50 深圳市紫金支点技术股份有限公司深圳二级51 易程科技股份有限公司北京二级52 北京华创方舟科技股份有限公司北京二级53 南威软件股份有限公司福建二级54 东方数码（武汉）股份有限公司湖北二级55 长城计算机软件与系统有限公司北京二级56 上海三零卫士信息安全有限公司上海二级57 陕西北佳信息技术有限责任公司陕西二级58 山西天地科技有限公司山西二级59 中通服网络信息技术有限公司云南二级中国平煤神马集团平顶山信息通信技60河南二级术开发公司61 重庆汉光电子工程有限责任公司重庆二级62 国核信息科技有限公司山东二级63 北京中亦安图科技股份有限公司北京二级64 长威信息科技发展股份有限公司福建二级65 贝谷科技股份有限公司江西二级66 富盛科技股份有限公司北京二级67 陕西通信信息技术有限公司陕西二级68 西安雷迪信息技术有限公司陕西二级69 天津市天房科技发展股份有限公司天津二级70 易讯科技股份有限公司辽宁二级71 北京海天起点技术服务有限公司北京二级72 广西博联信息通信技术有限责任公司广西二级73 江西双源电力高新技术有限责任公司江西二级74 上海易谷网络科技有限公司上海二级75 杭州新世纪电子科技有限公司浙江二级76 武汉爱迪科技股份有限公司湖北二级77 思创数码科技股份有限公司江西二级78 重庆市中冉信息产业有限公司重庆二级79 北京先进数通信息技术股份公司北京二级80 四川长虹佳华数字技术有限公司四川二级内蒙古金名计算机系统集成股份有限81内蒙古二级公司82 重庆南华中天信息技术有限公司重庆二级83 南京南瑞集团公司江苏二级84 重庆亚德科技股份有限公司重庆二级85 浙江鸿程计算机系统有限公司浙江二级86 上海天好电子商务股份有限公司上海二级87 上海迪爱斯通信设备有限公司上海二级88 上海合胜计算机科技股份有限公司上海二级89 北京辰安科技股份有限公司北京二级90 天维尔信息科技股份有限公司深圳二级91 山西同昌信息技术实业有限公司山西二级92 高新兴科技集团股份有限公司广东二级93 国网信通亿力科技有限责任公司厦门二级94 天讯瑞达通信技术有限公司广东二级95 重庆梅安森科技股份有限公司重庆二级96 沈阳昂立信息技术有限公司辽宁二级97 武汉兴得科技有限公司湖北二级98 科大国创软件股份有限公司安徽二级99 安图特（北京）科技有限公司北京二级100 北京艾力泰尔信息技术有限公司北京二级序号单位名称所属省市成熟度等级101 北京大唐高鸿数据网络技术有限公司北京二级102 北京国研数通软件技术有限公司北京二级103 北京海联捷讯科技股份有限公司北京二级104 北京浩翰深度信息技术股份有限公司北京二级105 北京京天威科技发展有限公司北京二级106 北京瑞华赢科技发展有限公司北京二级107 北京神州泰岳软件股份有限公司北京二级108 北京神州新桥科技有限公司北京二级109 北京同方软件股份有限公司北京二级110 北京易华录信息技术股份有限公司北京二级111 北京用友政务软件有限公司北京二级112 北京中电源丰科技有限公司北京二级113 北京中教美育科技有限公司北京二级114 亚信科技（中国）有限公司北京二级115 赞华（中国）电子系统有限公司北京二级116 中金数据系统有限公司北京二级117 中铁程科技有限责任公司北京二级118 福建金科信息技术股份有限公司福建二级119 富春通信股份有限公司福建二级120 广东丰德科技有限公司广东二级121 广东卓维网络有限公司广东二级122 河北诺特通信技术有限公司河北二级123 普瑞领航信息技术有限公司河北二级124 中移全通系统集成有限公司河北二级125 河南辉煌科技股份有限公司河南二级126 河南腾龙信息工程有限公司河南二级127 新开普电子股份有限公司河南二级128 郑州佳发电子科贸有限公司河南二级129 湖北华中电力科技开发有限责任公司湖北二级130 武汉佰钧成技术有限责任公司湖北二级131 武汉大势恒通科技有限责任公司湖北二级132 武汉四通信息服务有限公司湖北二级133 湖南创博龙智信息科技股份有限公司湖南二级134 湖南科创信息技术股份有限公司湖南二级135 江苏达科信息科技有限公司江苏二级136 江苏国泰新点软件有限公司江苏二级137 江苏蓝深远望科技股份有限公司江苏二级138 江苏苏源高科技有限公司江苏二级139 江苏振邦智慧城市信息系统有限公司江苏二级140 江西电信信息产业有限公司江西二级141 浪潮创新科技股份有限公司辽宁二级142 青岛海信网络科技股份有限公司青岛二级143 山东鲁能软件技术有限公司山东二级144 山东易华录信息技术有限公司山东二级145 山东众志电子有限公司山东二级146 山西精英科技股份有限公司山西二级147 陕西和生科技有限公司陕西二级148 华存数据信息技术有限公司上海二级149 上海杰之能信息科技有限公司上海二级150 卫宁健康科技集团股份有限公司上海二级序号单位名称所属省市成熟度等级151 上海凯纬斯信息技术有限公司上海二级152 上海熙菱信息技术有限公司上海二级153 上海卓繁信息技术股份有限公司上海二级154 深圳市凯欣达信息技术股份有限公司深圳二级155 成都四方伟业软件股份有限公司四川二级156 成都万江港利科技股份有限公司四川二级157 四川大宇信息系统有限公司四川二级158 四川格瑞特科技有限公司四川二级159 四川省天财网络有限责任公司四川二级160 四川中电启明星信息技术有限公司四川二级161 天津市康恒信息科技有限公司天津二级162 易泰达科技有限公司天津二级163 红有软件股份有限公司新疆二级164 创业软件股份有限公司浙江二级165 汇智智能科技有限公司浙江二级166 银江股份有限公司浙江二级167 浙大网新系统工程有限公司浙江二级168 浙江联泰信息系统有限公司浙江二级169 浙江网新电气技术股份有限公司浙江二级170 浙江星汉信息技术股份有限公司浙江二级171 浙江浙大中控信息技术有限公司浙江二级172 重庆首讯科技发展有限公司重庆二级173 重庆易联数码科技股份有限公司重庆二级174 安徽继远软件有限公司安徽二级175 北京中电拓方科技发展有限公司北京二级176 北京北科光大信息技术股份有限公司北京二级177 北京雨辰视美科技有限公司北京二级178 北京市太极华青信息系统有限公司北京二级179 紫光捷通科技股份有限公司北京二级180 赛尔网络有限公司北京二级181 广州科腾信息技术有限公司广东二级182 广州博纳信息技术有限公司广东二级183 广州中软信息技术有限公司广东二级184 贵州华城楼宇科技有限公司贵州二级185 河北天翼科贸发展有限公司河北二级186 河北博士林科技开发有限公司河北二级187 河南九洲计算机有限公司河南二级188 创元网络技术股份有限公司河南二级189 武汉烽火信息集成技术有限公司湖北二级190 江苏大为科技股份有限公司江苏二级191 南京东大智能化系统有限公司江苏二级192 江苏国瑞信安科技有限公司江苏二级193 江苏金智教育信息股份有限公司江苏二级194 淮安市淮工深蓝软件有限公司江苏二级195 江苏晓山信息产业股份有限公司江苏二级196 辽宁奇辉电子系统工程有限公司辽宁二级197 辽宁立科信息工程有限公司辽宁二级198 内蒙古万德系统集成有限责任公司内蒙古二级199 内蒙古北青信息技术有限公司内蒙古二级200 易联众信息技术股份有限公司厦门二级序号单位名称所属省市成熟度等级201 陕西兆通利合数码有限公司陕西二级202 西安交大捷普网络科技有限公司陕西二级203 陕西颐信网络科技有限责任公司陕西二级上海延华智能科技（集团）股份有限204上海二级公司205 上海互联网软件有限公司上海二级206 天宇通信集团有限公司河北二级207 上海新炬网络技术有限公司上海二级208 成都国科海博信息技术股份有限公司四川二级209 四川晨光信息自动化工程有限公司四川二级210 成都海科时代科技有限责任公司四川二级211 成都索贝运维数码科技有限公司四川二级212 天津开发区先特网络系统有限公司天津二级213 新疆金蓝盾工程技术有限责任公司新疆二级214 杭州中软安人网络通信股份有限公司浙江二级215 杭州海康威视系统技术有限公司浙江二级216 浙江创智科技有限公司浙江二级217 重庆博通水利信息网络有限公司重庆二级218 广东亿迅科技有限公司广东二级219 哈尔滨凯纳科技股份有限公司黑龙江二级220 上海中信信息发展股份有限公司上海二级221 甘肃万维信息技术有限责任公司甘肃二级222 山西合力创新科技有限公司山西二级223 浙江网新恩普软件有限公司浙江二级224 中博信息技术研究院有限公司江苏二级225 江苏开拓信息与系统有限公司江苏二级226 南京多伦科技股份有限公司江苏二级227 南京恒天伟智能技术有限公司江苏二级228 西安翔迅科技有限责任公司陕西二级229 陕西思宇信息技术股份有限公司陕西二级230 浙江广信智能建筑研究院有限公司浙江二级231 北京京投亿雅捷交通科技有限公司北京二级232 南京南瑞继保工程技术有限公司江苏二级233 厦门高士达科技股份有限公司厦门二级234 山西光远科技有限公司山西二级235 西安山脉科技发展有限公司陕西二级236 北京世纪东方国铁科技股份有限公司北京二级237 佳都新太科技股份有限公司广东二级238 南京中网卫星通信股份有限公司江苏二级239 江苏国光信息产业股份有限公司江苏二级240 中海网络科技股份有限公司上海二级241 昆明优力威尔信息系统有限公司云南二级242 安徽省安泰科技股份有限公司安徽二级243 北京中电普华信息技术有限公司北京二级244 北京嘉和美康信息技术有限公司北京二级245 武汉菲旺软件技术有限责任公司湖北二级246 武汉烽火众智数字技术有限责任公司湖北二级武汉钢铁工程技术集团自动化有限责湖北二级247任公司248 湖北泰信科技信息发展有限责任公司湖北二级249 湖南创发科技有限责任公司湖南二级250 中邮建技术有限公司江苏二级序号单位名称所属省市成熟度等级251 南京保旺达科技有限公司江苏二级252 中兴智能交通股份有限公司江苏二级253 内蒙古自立科技有限责任公司内蒙古二级254 厦门信息港建设发展股份有限公司厦门二级255 上海长江计算机有限公司上海二级256 上海亚太计算机信息系统有限公司上海二级257 上海电科智能系统股份有限公司上海二级258 上海欣能信息科技发展有限公司上海二级259 四川浩特通信有限公司四川二级260 成都汉康信息产业有限公司四川二级261 云南电信公众信息产业有限公司云南二级262 联众智慧科技股份有限公司浙江二级263 北京久其软件股份有限公司北京二级264 长春市万易科技有限公司吉林二级265 陕西北斗恒星科技发展有限公司陕西二级266 深圳市永达电子信息股份有限公司深圳二级267 浙江正元智慧科技股份有限公司浙江二级268 浙江图讯科技股份有限公司浙江二级北京全路通信信号研究设计院有限公269北京三级司270 北京新宇合创金融软件股份有限公司北京三级271 工信通（北京）信息技术有限公司北京三级272 北京国信博飞科技发展有限公司北京三级273 蓝盾信息安全技术有限公司广东三级274 江苏三棱智慧物联发展股份有限公司江苏三级275 深圳市华仁达技术有限公司深圳三级276 重庆微易科技有限公司重庆三级277 重庆金算盘软件有限公司重庆三级278 重庆金美通信有限责任公司重庆三级279 郑州华力信息技术有限公司河南三级280 陕西长城信息有限责任公司陕西三级281 上海格蒂电力科技股份有限公司上海三级282 北京合力思腾科技股份有限公司北京三级283 郑州圣晖信息技术有限公司河南三级284 连云港电子口岸信息发展有限公司江苏三级285 江苏意源科技有限公司江苏三级286 江苏启航开创软件有限公司江苏三级287 苏州神州数码捷通科技有限公司江苏三级288 内蒙古科电数据服务有限公司内蒙古三级289 北京希益丰科技有限公司北京三级290 北京英之玖信息技术服务有限公司北京三级291 湖北三峡云计算中心有限责任公司湖北三级292 湖北纵横科技有限责任公司湖北三级293 武汉瑞得信息工程有限责任公司湖北三级294 江苏鑫亿软件股份有限公司江苏三级295 西安兖矿科技研发设计有限公司陕西三级296 重庆华都信息技术有限公司重庆三级297 重庆市科源能源技术发展有限公司重庆三级298 广州市海奕电子科技有限公司广东三级299 山西盛荣电子技术有限公司山西三级300 山西中网信息产业有限公司山西三级序号单位名称所属省市成熟度等级301 陕西瑞金电子科技有限公司陕西三级302 上海世纪互联信息系统有限公司上海三级303 云南瑞讯达通信技术有限公司云南三级304 重庆天网高新技术有限公司重庆三级305 重庆商社信息科技有限公司重庆三级306 北京北控伟仕软件工程技术有限公司北京三级307 北京恒宇伟业科技发展有限公司北京三级308 广西路搏远科技有限公司广西三级309 黑龙江安信与诚科技开发有限公司黑龙江三级310 哈尔滨康明新网络科技开发有限公司黑龙江三级311 江苏同步信息技术有限公司江苏三级312 无锡中科新瑞系统集成有限公司江苏三级313 山西通海诚旭科技有限公司山西三级314 陕西英华电子科技有限公司陕西三级315 陕西联拓永欣信息工程有限公司陕西三级316 邦正科技股份有限公司陕西三级317 上海元方计算机技术有限公司上海三级318 重庆格网科技有限公司重庆三级319 重庆尚优科技有限公司重庆三级320 重庆怡讯网络技术有限公司重庆三级321 重庆银拓信息技术有限责任公司重庆三级322 北龙泽达（北京）数据科技有限公司北京三级323 北京海量数据技术股份有限公司北京三级324 福建亿榕信息技术有限公司福建三级325 武汉华信数据系统有限公司湖北三级326 武汉纬创纬尊软件有限公司湖北三级327 武汉开目信息技术有限责任公司湖北三级328 辽宁邮电规划设计院有限公司辽宁三级329 辽宁辽河泰利达石油技术有限公司辽宁三级330 东网科技有限公司辽宁三级331 山西科达自控股份有限公司山西三级332 西安一格科技有限公司陕西三级333 陕西龙方信息技术有限公司陕西三级334 陕西龙朔通信技术有限公司陕西三级335 重庆医事通科技发展有限公司重庆三级336 重庆赛海科技有限公司重庆三级中铁（北京）信息技术服务有限责任337北京三级公司338 北京久其政务股份有限公司北京三级339 亿雅捷交通系统（北京）有限公司北京三级340 新博卓畅技术（北京）有限公司北京三级341 北京旭亚威科技发展有限公司北京三级342 北京鑫台华科技有限公司北京三级343 金鹏电子信息机器有限公司广东三级344 广州市佳众联科技有限公司广东三级345 贵州新思维科技有限责任公司贵州三级346 海南蓝点计算机网络工程有限公司海南三级347 海南好思达网络科技有限公司海南三级348 海南信息岛技术服务中心有限公司海南三级349 海南安福电子工程有限公司海南三级350 哈尔滨海贝电子信息有限公司黑龙江三级序号单位名称所属省市成熟度等级黑龙江华电网络信息技术工程有限公黑龙江三级351司352 武汉兴图新科电子股份有限公司湖北三级353 武汉市德发电子信息有限责任公司湖北三级354 湖北中科网络科技股份有限公司湖北三级355 武大吉奥信息技术有限公司湖北三级356 南京维跃计算机有限公司江苏三级357 苏州新希望信息技术有限公司江苏三级358 淮安市迪达科技有限公司江苏三级359 江苏冲浪软件科技有限公司江苏三级360 朗新科技股份有限公司江苏三级361 诚迈科技（南京）股份有限公司江苏三级362 大唐融合通信技术无锡有限公司江苏三级363 江苏联盟信息工程有限公司江苏三级364 南京天溯自动化控制系统有限公司江苏三级365 南京深业智能化系统工程有限公司江苏三级366 江西时励数码科技有限公司江西三级367 沈阳思航网络工程有限公司辽宁三级368 辽宁纬恒科技发展有限公司辽宁三级369 沈阳金创想系统集成有限公司辽宁三级370 厦门亿力吉奥信息科技有限公司厦门三级371 烟台东方纵横科技股份有限公司山东三级372 临汾市迎新电脑有限公司山西三级373 山西新太阳科技有限公司山西三级374 山西友信科技发展有限公司山西三级375 西安绿创电子科技有限公司陕西三级376 上海合联电子科技有限公司上海三级377 上海首创信息科技有限公司上海三级378 深圳市新怡海科技发展有限公司深圳三级379 成都超级计算机中心有限公司四川三级380 西藏天威信息技术有限公司西藏三级381 新疆西北曙光云计算有限责任公司新疆三级382 浙江维尔科技股份有限公司浙江三级383 杭州藏愚科技有限公司浙江三级384 浙江爱达科技有限公司浙江三级385 金华市广信网络工程有限责任公司浙江三级386 重庆融景科技有限公司重庆三级387 中煤科工集团重庆研究院有限公司重庆三级388 重庆四通都成科技发展有限公司重庆三级389 国云科技股份有限公司广东三级390 海南百源高科技有限公司海南三级391 海口华能发展有限公司海南三级392 海口鑫网计算机网络有限公司海南三级393 中科华讯科技开发有限公司新疆三级394 云南远信科技有限公司云南三级395 重庆渝防通讯科技有限公司重庆三级396 重庆源畅科技有限公司重庆三级397 西南计算机有限责任公司重庆三级398 重庆巨东科技有限公司重庆三级399 合肥未来计算机技术开发有限公司安徽三级400 紫光华山科技有限公司北京三级序号单位名称所属省市成熟度等级401 北京开元浩海科技发展有限公司北京三级402 福建汉龙信息科技有限公司福建三级403 广东政通科教设备有限公司广东三级404 江苏耘和计算机系统工程有限公司江苏三级405 苏州嘉华计算机系统工程有限公司江苏三级406 江苏省计算机技术服务有限公司江苏三级407 苏州信颐系统集成有限公司江苏三级408 苏州易维迅信息科技有限公司江苏三级409 山东万维网络工程有限公司山东三级410 太原龙为电子科技有限公司山西三级411 山西中天信科技股份有限公司山西三级412 天津市高速公路科技发展有限公司天津三级413 西安口岸电子科技有限公司陕西三级414 重庆海康威视系统技术有限公司重庆三级415 重庆网安信息技术有限公司重庆三级416 北京万云易博达信息技术有限公司北京三级417 北京优兆科技有限公司北京三级418 江苏科大汇峰科技有限公司江苏三级419 江苏中友讯华信息科技有限公司江苏三级。

附录一
注1：以上分类考虑了组织的信息、信息载体及载体所处环境的特点，并结合了当前我国信息安全等级保护的重点领域，例如政府、税务、海关、广播电视网、通信网、金融银行、电力、铁路、民航、石油化工等。

不宜将认证业务范围等同于与ISMS认证相关的技术领域（见G.1.1）。

注2：以上风险分级主要考虑获证组织的信息安全遭受破坏时，对国家安全、社会秩序、公共利益或组织及其相关方的合法权宜可能造成的危害的严重程度，以及获证组织ISMS的有效性发生问题时，认证机构和CNAS可能承担的责任，主要是为了控制认可活动的风险，也可为认证机构分析和控制认证业务风险提供参考。

某些中类（例如每个大类的“其他”中类）的风险级别还需要随着ISMS认证认可活动的发展做进一步分析。

因此，中类的风险级别并不代表相关组织的信息安全风险水平，也不表示该类中所有组织的信息安全风险水平都相同。

2024年第二期CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意2、容量管理的对象包括（）A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部3、对于交接区域的信息安全管理，以下说法正确的是:（）A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证4、如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：（）A、三级B、二级C、四级D、五级5、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、20216、（）是建立有效的计算机病毒防御体系所需要的技术措施。

A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙7、下列哪个选项不属于审核组长的职责?A、确定审核的需要和目的B、组织编制现场审核有关的工作文件C、主持首末次会议和市核组会议D、代表审核方与受中核方领导进行沟通8、ISMS文件的多少和详细程度取于A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C9、关于系统运行日志，以下说法正确的是：（)A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志10、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用11、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件12、控制影响信息安全的变更，包括（)A、组织、业务活动、信息及处理设施和系统变更B、组织、业务过程、信息处理设施和系统变更C、组织、业务过程、信息及处理设施和系统变更D、组织、业务活动、信息处理设施和系统变更13、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯14、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低15、应定期评审信息系统与组织的（）的符合性。

ISO27001认证业务常见问题Q：ISO27001认证是什么？A：ISO27001是国际标准，全名是IEC/ISO27001信息安全管理体系规范，他是整个ISO27000标准系列当中的一个标准，该系列标准中包含很多其他标准；另外一个大家常说的标准ISO1779:2005-信息安全实施细则也是与信息安全管理相关的，这个标准当前已经改名为ISO27002:2008了。

无论是ISO27001还是ISO27002，都是ISMS标准系列（ISMS Family of Standards）之一，ISMS标准系列如下图所示：大家常说的ISO27001认证，就是企业宣称的认证范围内符合ISO27001标准正文里的所有要求，并且有选择的满足ISO27001标准附录A中的内容。

附录A中的内容对应标准ISO27002：2008第5章到第15章，企业是可以根据自身的实际情况来选择适用的控制措施，也就是说该标准里的133个控制项不是强制要求通过认证的用户都必须满足的，通常是通过《适用性声明SOA》文件来表达这种适用，因此，通常在通过ISO27001证书里会包含所选《适用性声明SOA》文件的。

Q：与BS7799认证有和区别？A：ISO27001认证和BS7799认证的区别得从ISO27001标准发展的历史谈起，ISO27001的发展过程如下图所示：BS7799认证是指企业信息安全管理体系符合英国国家标准BS7799-2，由于BS7799具有广泛的国际认可度，在BS7799-2成为国际标准ISO27001之前，全球企业在选择信息信息安全管理体系认证时，会选择BS7799。

Q：到目前为止，国内ISO27001认证情况发展如何？A：目前在国内通过ISO27001认证的企业数已经达到了199家（截至200906），尽管绝对数还不大，但是增长特别快，从下图能观其大概：在这颁发的199张证书里，其中数DNV和BSI颁发占绝大多数，下图是各认证公司颁发证书的统计表（截止到2009年6月）：目前国内认证公司有中国信息安全认证中心（简写为ISCCC，09年5月份CNAS认可），华夏认证中心有限公司（UKAS认可，国内试点证书），广州赛宝认证中心服务有限公司（国内试点证书），中国电子技术标准化研究所（国内试点证书）四家，从公开渠道能够查询到的信息来看，截止到2009年7月20日，只有中国信息安全认证中心对外颁发了19张证书，而其他国内认证机构还没有颁出证书。

信息技术服务管理体系(ITSMS)认证从业条件和申请材料要求一.认证依据GB/T 24405.1《信息技术服务管理第1部分：规范》二.认证范围：信息技术服务管理体系认证划分具体的业务类别，详见附件1。

三.从业条件符合下列条件的认证机构可以申请开展信息技术服务管理体系认证业务：1、经国家认监委批准具有信息安全管理体系或其他信息技术相关领域的认证从业资格，或者有五年以上质量管理体系认证经历且颁发信息技术类质量管理体系认证证书200张以上。

2、在信息技术服务管理体系认证领域有10名以上专职审核员。

专职审核员应符合下列条件：(1)是认证机构的正式职员；(2)有信息技术相关专业本科以上学历并取得相应的学位证书；或者有5年以上与信息技术相关的全职工作经历；(3)有从事信息安全管理体系或其他信息技术相关领域认证经历，或者有2年以上信息技术类质量管理体系认证经历；(4)取得信息技术服务管理体系认证领域国家注册审核员资格。

3、提交申请前一年内机构没有违法违规行为；4、管理体系认证能力符合基于GB/T 27021《合格评定管理体系审核认证机构的要求》的相关要求，且在提交申请前一个年度内的认可评审中没有严重不符合项；5、若申请者是外商投资认证机构，其国外投资者应有三年以上从事信息技术服务管理体系认证的经历且在该认证领域获得所在国家或地区认可机构的认可。

四.申请材料目录1申请书及基本条件情况1.1认证机构申请书（申请扩大认证业务专用，格式见附件2）1.2企业法人营业执照副本（或事业单位法人证书）1.3开展认证业务的信息管理系统的简介1.4 在QMS领域第33类“信息技术”方面已颁发有效认证证书的目录（格式见附件3-A），或者在信息安全管理体系及其他信息技术认证领域已颁发有效认证证书的目录（格式见附件3-B）1.5获认可机构颁发的认可证书2 现有组织架构及运行情况2.1适用于ITSMS领域的组织结构图及各自任务、责任和权力的说明2.2适用于ITSMS领域的维护公正性委员会的成员名单2.3上述维护公正性委员会最近一次履行职能的记录（如会议纪要等）2.3认可机构最近一次对申请者在质量管理体系认证、信息安全管理体系及信息技术相关其他认证领域评审的报告(获多个认可机构颁发证书的，应包含每个认可机构的评审报告) 3适用于开展ITSMS认证的管理制度文件3.1开展ITSMS认证的可行性报告，基本内容应该包含：认证依据概述、国家相关政策及法律法规的要求、认证市场分析、国内外认证现状、申请者技术能力分析及人力资源配备、进入该领域开展认证的优势等3.2开展ITSMS认证的质量手册3.3开展ITSMS认证的程序文件3.4开展ITSMS认证的作业指导书目录3.5拟签发ITSMS认证证书的样本4申请者的人员资料4.1不少于10人的具有国家注册ITSMS认证审核员资格的专职审核员名单（该名单将从《认证认可行政审批在线服务系统》相关页面显示的申请者名下有相应职业资格的人员中点选，确定后自动生成名单）以及每位审核员的下述材料:4.2专职审核员的身份证(非中国内地居民为就业证)复印件4.3专职审核员获国家注册ITSMS认证审核员资格证明4.4专职审核员是申请者正式职工的证明(写明工作单位是申请者的社会保险凭证、主管人事部门出具的事业单位在编证明或者写明工作单位是申请者的《外国人就业证》或《台港澳人员就业证》)4.5专职审核员的专职认证人员声明（按附件4的格式填写）4.6专职审核员在信息技术相关专业（附件5）的学位证书或者有5年以上与信息技术相关的全职工作经历的证明（见说明2）4.7专职审核员从事过信息技术相关领域或信息技术类质量管理体系(即质量管理体系认证业务范围分类表中第33大类) 认证的《审核经历记录表》（附件6）5若申请者属于外商投资认证机构，应提交境外投资者的下列文件：（若文件属于中文以外的文字，相关文件需附中文译件）5.1境外投资者从事ITSMS认证业务三年以上的证明（如三年前颁发的认证证书及相应审核记录资料，或者三年前已获得所在国家或地区的认可机构颁发的涵盖ITSMS认证领域的认可证书）5.2境外投资者获得所在国家或地区的认可机构颁发的涵盖ITSMS认证领域的认可证书5.3一份境外投资者真实签发的ITSMS认证证书彩色影印件说明：1.为适应《认证认可行政审批在线服务系统》要求，申请者应把申请材料制作成PDF格式的电子文件，上述材料目录中每个带点的编号项对应一个PDF格式文件(4.1项除外)；一个编号项中包含多份资料的，应制作成一个多页的PDF格式文件；证件或证书类资料的PDF 格式文件应保持原件的色彩,申请者在提交申请期间应备好相关原件以备可能的核对。

CNAS认证机构、实验室、检验机构认可通报
发布单位：中国合格评定国家认可委员会（CNAS）秘书处
发布日期：2020年4月30日
截至2020年4月30日，CNAS认可各类认证机构、实验室及检验机构三大门类共计十五个领域的11726家机构，其中，累计认可各类认证机构195家，分项认可制度认证机构数量合计733家，涉及业务范围类型11876个；累计认可实验室10902家，其中检测实验室8919家、校准实验室1347家、医学实验室431家、生物安全实验室93家、标准物质生产者20家、能力验证提供者82家、实验动物机构9家、科研实验室1家；累计认可检验机构629家。

截至2020年4月30日，累计暂停各类机构的认可资格2163家，其中认证机构61家、实验室2035家、检验机构67家；累计撤销各类机构的认可资格913家，其中认证机构27家、实验室815家、检验机构71家；累计注销各类机构的认可资格1040家，其中认证机构34家、实验室952家、检验机构54家。

认可的认证机构统计信息
截至2020年4月30日
CNAS认可的认证机构认证领域分布图
CNAS认可的认证机构地域分布图。